[SSL]你也成為免費SSL的受害者了嗎？

S觀察員

你也成為免費SSL的受害者了嗎？

來源：
https://blog.user.today/free-ssl-victim-dst-root-ca-x3/

2020/5/30發生根憑證過期造成Roku、Stripe及Spreedly等眾多服務停擺，今年則是另一家根憑證 Root CA X3 在 9/30 過期，一些瀏覽者在 2021/10/1 起瀏覽網站，可能就會出現「您的連線不是私人連線」「NET::ERR_CERT_DATE_INVALID」的訊息。

常見的免費SSL與優缺點
這邊講的 SSL 數位憑證是真的半毛錢都不用花的，常見的有幾種

用 CDN 就送 SSL
最有名的就屬 Cloudflare，2016年有發公告透過中華電信機房也在台提供服務Taipei: CloudFlare’s 77th Data Center is Now Live，申請完全免費，使用基礎功能也完全不用錢，不知道以後會不會養套殺就是了。

缺點之一是域名 Name Server 要直接設到 Cloudflare 上面去，增添各種權限相關的煩惱，例如客人不給域名帳密，根本沒法用這種方式。
缺點之二是因為機房頻寬有限，可能會被導向海外節點而導致網站變慢，例如現主時我這台電腦查看疫苗預約網站 https://1922.gov.tw/cdn-cgi/trace 的資訊如下，COLO=TPE，還在台灣節點內。



1922 cloudflare
CDN77也有提供這種你用他的CDN，他就讓你用免費SSL的服務，但CDN77只有14天免費試用，平常使用是要錢的。

Let's Encrypt 自動化數位憑證頒發機構

於2015年左右推出的自動化數位憑證頒發機構，2018年開始支援 wildcard 型的憑證，網站管理者透過系統指令，即可達成完全無人自動化達成簽發與安裝步驟。他們的理念是為了建立一個更加安全；更尊重隱私的網際網路，我們免費提供用戶數位憑證，並以最友善的方式替網站啟用 HTTPS。Google, Facebook 等知名的全球化網路企業都是他們的贊助商。
如果是使用一些 Linux 環境+CPanel 控制介面的虛擬主機傻瓜型服務，通常也會開放 AutoSSL 的功能讓網站管理員自動簽發，降低不少處理SSL相關作業的成本和時間。

缺點是有效期較短，只有90天，有效期過了當然就要重新簽發，然後還有千百種原因會讓自動排程程式沒執行，網站的SSL憑證過期，使用者一瀏覽網站馬上就看到錯誤畫面啦!
而且部分的共享主機(虛擬主機)根本不開放管理者使用系統指令或 cerbot 或 acme.sh 之類的工具操作權限，沒法直接享受他們的免費SSL。

FreeSSL

上述有提到部分的網頁伺服器廠商有限制，沒有開放管理者使用自動化指令簽發SSL憑證，當然就有一些服務立基於 Let’s Encrypt 或一些其他的憑證機構之上，提供一些網頁介面或其他方法來簽發憑證，並產生相關的金鑰資訊，讓管理者可以安裝在自己主機上。

缺點當然跟上述 Let’s Encrypt 一樣，每 90 天就要重新操作一次，自動化有出錯的機率，手動當然也有，一不小心就有網站的 SSL 忘記更新，非常辛苦。
這些服務本身當然也有一些使用規範或限制，例如 ZeroSSL 每個帳號可以申請的免費 SSL 憑證數量是有限制的，要多申請得繳錢變付費會員，或是像 FreeSSL.cn 需要實名制認證，註冊時要填寫大陸的手機號碼。

免費的 SSL 雖然沒有什麼麻煩的身分驗證層級(電話驗證、Email 驗證等等)、沒有保固金額、沒有真人客服、沒有標章圖片(Site Seal)之類的，但安裝免費 SSL 的絕非貪小便宜之徒，例如因為付費 SSL 通常都是1年，有時候系統還在開發測試期間，或是付費憑證申請還沒下來，或是請款流程還在跑，都會讓網站有空窗期，很適合拿免費 SSL來頂一陣。


DST Root CA X3 根憑證過期，真的只有舊裝置會出問題？

依照 Let’s Encrypt 的憑證信任鍊上 所述，Let’s Encrypt 的憑證會由 DST Root CA X3 根憑證或 ISRG Root X1 根憑證所簽發，而 DST Root CA X3 的根憑證在 2021/09/30 22:01:15 (台灣時間) 到期，有持續更新的電腦或手機設備，用戶端的瀏覽器還會有 ISRG Root X1 的根憑證可以繼續用，而久未更新的作業系統或伺服器環境，瀏覽使用了 Let’s Encrypt 的網站，將會讓使用者看到SSL連線失敗、NET::ERR_CERT_DATE_INVALID之類的訊息。


繼續閱讀：
https://blog.user.today/free-ssl-victim-dst-root-ca-x3/